ISO発行・改訂情報
ISO/IEC 27001:2013移行支援
1.ISO27001:2013の発行と移行期間
2013年10月1日に、ISO/IEC 27001:2005 情報セキュティマネジメントシステム-要求事項 の改正版にあたるISO/IEC 27001:2013が発行されました。
一般財団法人日本情報経済社会推進協会(JIPDEC)の発表では、2015年10月1日までにISO27001:2013への移行を完了する必要があります。
ISO27001:2013への移行期間
2013年
|
2014年
|
2015年
|
||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
10
|
11
|
12
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
<------------------------ 移行期間24ヶ月(2013年10月1日~2015年10月1日)------------------------>
2.ISO27001:2013の概要
ISO27001:2013は、ISOマネジメントシステムの規格構成の共通化ルール(MSS共通要求事項又はHLSと呼ばれる)を採用して開発され、箇条4~10で構成されています。(※太字赤字箇所が、ISO27001独自の要求事項)
ISO/IEC 27001:2013 の構成 |
---|
0. 序文
|
||
1. 適用範囲
|
||
2. 引用規格
|
||
3. 用語及び定義
|
||
4. 組織の状況
|
||
4.1 組織及びその状況の理解
|
||
4.2 利害関係者のニーズ及び期待の理解
|
||
4.3 情報セキュリティマネジメントシステムの適用範囲の決定
|
||
4.4 情報セキュリティマネジメントシステム
|
||
5. リーダーシップ
|
||
5.1 リーダーシップ及びコミットメント
|
||
5.2 方針
|
||
5.3 組織の役割、責任及び権限
|
||
6. 計画
|
||
6.1 リスク及び機会への取り組み
|
||
6.1.1 一般
|
||
6.1.2 情報セキュリティリスクアセスメント
|
||
6.1.3 情報セキュリティリスク対応
|
||
6.2 情報セキュリティ目的及びそれを達成するための計画
|
||
7. 支援
|
||
7.1 資源
|
||
7.2 力量
|
||
7.3 認識
|
||
7.4 コミュニケーション
|
||
7.5 文書化された情報
|
||
7.5.1 一般
|
||
7.5.2 作成及び更新
|
||
7.5.3 文書化した情報の管理
|
||
8. 運用
|
||
8.1 運用の計画及び管理
|
||
8.2 情報セキュリティリスクアセスメント
|
||
8.3 情報セキュリティリスク対応
|
||
9. パフォーマンス評価
|
||
9.1 監視、測定、分析及び評価
|
||
9.2 内部監査
|
||
9.3 マネジメントレビュー
|
||
10. 改善
|
||
10.1 不適合及び是正処置
|
||
10.2 継続的改善
|
||
附属書A(規定)管理目的及び管理策
|
ISO27001:2013は、2005年版のISO27001の基本的な取り組みを変更するものではなく、他のISOマネジメントシステムの規格構成の共通化に伴い、全体的に強化・明確化されているのが特徴で、主な改正点は、以下の通りです。
項 目 | 主な改正点 |
---|---|
4 組織の状況 |
|
5 リーダーシップ |
|
6 計画 |
|
7 支援 |
|
8 運用 |
|
9 パフォーマンス評価 |
|
10 改善 |
|
附属書A(規定) |
|
3.ISO27001:2013移行への対応準備
ISO 27001:2013で、現行の情報セキュリティマネジメントシステム(ISMS)の基本的な取り組みが大きく変更されることはありませんが、移行に際して以下のような対応が必要となります。
<必須> |
|
<推奨> |
4.テクノソフトのISO27001:2013移行支援
テクノソフトでは、ISO27001:2013への移行支援を実施いたします。下記の支援項目についてご希望内容をご確認いただき、お問合せください。
内容の詳細を決定し、支援費用を見積ります。また、支援費用とは別に訪問にかかる交通費等(実費)をいただく場合があります。
支援項目
|
支援内容
|
成果物/支援結果
|
|
---|---|---|---|
A
|
ISO 27001:2013改訂内容の説明
|
半日程度の訪問で改訂内容について解説 | 改訂内容の理解 |
B
|
ISMSマニュアル、適用宣言書の改訂
|
文書改訂は訪問打合せで改訂後の内容を説明 | ISMSマニュアル 適用宣言書 |
C
|
リスクアセスメント手順の見直しと実施結果のレビュー
|
訪問打合せで手順見直し検討し、実施後に内容確認 | リスクアセスメント文書 リスクアセスメント実施記録 |
D
|
セキュリティ関連規定の見直し改訂
|
訪問打合せで規定見直し検討し、改訂後の内容を説明 | セキュリティ関連規定 |
E
|
セキュリティ教育の支援
|
情報セキュリティ目的(目標)や規定に関する一般従業員向け教育資料の作成と教育実施のサポート | セキュリティ一般教育資料 |
F
|
ISO 27001:2013対応
内部監査員養成セミナー |
1日の訪問セミナーで実施し修了証を交付 | ISO27001:2013対応内部監査員 |
G
|
審査前準備
|
教育訓練、内部監査、マネジメントレビュー実施記録の確認と移行審査に向けての準備事項を説明 | 審査前準備の完了 |
H
|
移行審査への対応
|
移行審査の指摘対応の検討と内容確認 | 移行登録証 |